Onderzoeksraad: digitale veiligheid overheid moet beter
Overheidsorganisaties hebben hun digitale veiligheid niet in alle gevallen op orde en kunnen die veiligheid daardoor niet waarborgen. Dat staat in het rapport van de Onderzoeksraad voor Veiligheid, dat vandaag is gepubliceerd naar aanleiding van het ‘DigiNotar-incident’. Volgens de onderzoekers maakte de inbraak bij DigiNotar in de zomer van 2011 duidelijk dat de Nederlandse overheid niet was voorbereid op een aantasting van zijn digitale veiligheid.
Door de inbraak ontstond het risico dat gegevens van burgers en bedrijven onderschept zouden worden en mogelijk misbruikt. Ondanks de ernst van de situatie bleek dat niet snel kon worden overgeschakeld op een andere leverancier zonder dat de continuïteit van diverse essentiële gegevensstromen met en binnen de overheid ernstig in gevaar zou komen. Uiteindelijk heeft de overheid er maanden over gedaan om alle DigiNotar-certificaten te vervangen.
De Onderzoeksraad voor Veiligheid heeft zich gericht op de vraag hoe overheidsorganisaties digitale veiligheid bestuurlijk-organisatorisch waarborgen. Hiertoe is onder meer het handelen onderzocht van de betrokken partijen naar aanleiding van de inbraak bij DigiNotar. Het onderzoek heeft zich niet gericht op de technische specificaties van de veiligheid bij DigiNotar en ook de inbraak zelf blijft buiten beschouwing.
PKIoverheid-certificaten
De inbraak bij DigiNotar kon zulke verstrekkende gevolgen hebben omdat overheidsorganisaties niet hadden geanticipeerd op de mogelijkheid dat een certificaatdienstverlener onbetrouwbaar zou worden, stellen de onderzoekers.
Verder concludeert de Onderzoeksraad dat PKIoverheid-certificaten, die bestemd zijn voor overheidsorganisaties, door de manier waarop ze nu gebruikt worden te weinig toegevoegde waarde hebben ten opzichte van andere certificaten. Dat komt omdat de rijksoverheid zichzelf op grote afstand heeft geplaatst en zelf weinig controleert of de regels worden nageleefd.
Ook bij de onderzochte gemeenten blijkt sprake van een gebrekkig inzicht in de risico’s die digitale veiligheid bedreigen. Het risicobewustzijn is voornamelijk aanwezig bij de ICT-afdeling en nauwelijks bij de top van de ambtelijke organisatie of het college van burgemeester en wethouders.
Een heel rapport en onderzoek om een open deur in te trappen.
Wel fijn dat we nu op een lijn zitten :P
Greetingz,
Jacco
Of het tot verbetering leidt is wel de vraag,
Wel merkwaardig dat een aanbeveling is om ISO27001/27002 als leidraad te gaan nemen. Diginotar had een ETSI certificaat en dat zegt dus niets, ISO27001 compliance betekent ook niet direct sluitende security.
Betere aanbeveling was geweest continue monitoring in een SOC, goede forensics e.d.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
No more ransomware!
De nieuwe Ransomware Awareness Experience training biedt een realistische maar vooral leuke introductie in de wereld van ransomware. De deelnemers ervaren hoe eenvoudig een organisatie het slachtoffer kan worden van ransomware en leren meteen hoe een besmetting kan worden voorkomen!